云攻击和防御论文(共8页)_第1页
云攻击和防御论文(共8页)_第2页
云攻击和防御论文(共8页)_第3页
云攻击和防御论文(共8页)_第4页
云攻击和防御论文(共8页)_第5页
已阅读5页,还剩3页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、云计算(j sun)基础课程论文封面教师(jiosh)填写:得分任课教师签名年 月 日学生(xu sheng)填写:姓名 学号 所在学院专业信息工程课程名称云计算基础任课教师课程学分4上课时间20 14 至20 15 学年 第 二 学期 星期 一、四 递交时间2015 年 7 月 日 论文作者签名: 云攻击(gngj)和防御摘 要:随着企业的关键(gunjin)核心数据及服务从企业网迁移到了云服务中心,更多的应用和集成业务开始依靠互联网,拒绝服务带来的后果和破坏将会明显地超过传统的企业网环境。在云计算环境下,具体的应用成为攻击目标,攻击者会使用针对具体应用的攻击方法来攻击受害者的在线服务。基于

2、云计算平台的处理拒绝服务攻击的策略,主要解决了在云计算平台上对具体应用进行HTTP拒绝服务攻击的问题。通过该策略,能够在即使黑客伪装为合法用户后仍然能够防御拒绝服务攻击1。关键词:云计算(j sun); 拒绝服务; 防御策略; 数据中心;追踪算法;云计算(cloud computing)是基于互联网的相关服务的增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法。过去在图中往往用云来表示电信网,后来也用来表示互联网和底层基础设施的抽象。因此,云计算甚至可以让你体验每秒10万亿次的运算能力,拥有这么强大的计算能力可以模拟核爆炸、预测气候变化

3、和市场发展趋势。用户通过电脑、笔记本、手机等方式接入数据中心,按自己的需求进行运算。云安全(Cloud Security)是一个从“云计算”演变而来的新名词。云安全的策略构想是:使用者越多,每个使用者就越安全,因为如此庞大的用户群,足以覆盖互联网的每个角落,只要某个网站被挂马或某个新木马病毒出现,就会立刻被截获。“云安全”通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。1.DDoS攻击1.1定义分布式拒绝服务(DDoS:Distributed Denial of Servi

4、ce)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃帐号将DDoS主控程序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通讯,代理程序已经被安装在网络上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。1.2攻击方式DDoS攻击通过大量合法的请求占用大量网络资源,以达到瘫痪网络的目的。 这种攻击方式可分为以下几种:(1)通过使网络过载来干扰甚至阻断正常的网络通讯;(2)通过向服务器提交大量请求,使服务器超

5、负荷;(3)阻断某一用户访问服务器;(4)阻断某服务与特定系统或个人的通讯。1.2.1 IP SpoofingIP欺骗攻击是一种黑客通过向服务端发送虚假的包以欺骗服务器的做法。具体说,就是将包中的源IP地址设置为不存在或不合法的值。服务器一旦接受到该包便会返回接受请求包,但实际上这个包永远返回不到来源处的计算机。这种做法使服务器必需开启自己的监听端口不断等待,也就浪费了系统各方面的资源。1.2.2 LAND attack这种攻击方式与SYN floods类似,不过(bgu)在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器死循环,最终耗尽资源而死机

6、。1.2.3 ICMP floodsICMP floods是通过向未良好设置的路由器发送广播信息(xnx)占用系统资源的做法。1.2.4 Application与前面叙说的攻击方式不同,Application level floods主要是针对(zhndu)应用软件层的,也就是高于OSI的。它同样是以大量消耗系统资源为目的,通过向IIS这样的网络服务程序提出无节制的资源申请来迫害正常的网络服务。DDoS防御2.1边界过滤法边界过滤法在网络的边界路由器上对来自网络内部的报文进行检查,如果报文的源 IP地址不在本网络的范围内,则可以断定其为伪造报文,对其进行过滤.2。网络边界过滤方法可以有效地过滤

7、大部分 DDoS攻击报文,同时也使追踪攻击报文的源头更加容易。由于启动报文源地址检查功能会给路由器的性能带来较大影响,要求所有的 ISP都在其网络接入设备上启动此功能,这在实践中具有一定难度。而且,在一个大型子网内,攻击者仍然可以伪造同一网络内其它主机的IP地址。2.2速率限制法Ratul等人从流量控制的角度研究了阻止DDoS攻击的方法3。当发生 DDoS攻击时,被攻击网络的边界路由器会发生拥塞,从而产生丢包现象。从被丢弃的包中提取流量的特征,将符合此特征的网络包汇聚成一个或多个数据流,通过限制这些数据流的速率,从而达到阻止DDoS攻击的目的。Ratul提出的控制结构如图1所示。 图1 ACC

8、结构为了识别DDoS数据流,可使用汇聚的方法,如目的IP地址的网络前缀,目的端口号等。ACCAgent根据被丢弃的报文提取攻击流量的特征,并计算需要限制的流量带宽,通过 Rate-Limiter对指定的流量进行限制。为了减少DDoS对其它中间网络的影响,Ratul等人还提出利用Pushback机制使位于 DDoS攻击路径上的路由器之间相互合作,从而可以将防御的范围从被攻击网络延伸到中间网络。DDoS攻击源追踪3.1 DDoS攻击源追踪的分类就通常意义下的 DDoS 攻击追踪而言,其攻击追踪的共性目标主要包括降低运算复杂度、降低重构路径的差错率,以及收敛速度快、路径计算负荷小、误报率低等。 按照

9、攻击源追踪算法分类可以分为两个大类: 一类是在攻击完成后的追踪,主要有日志记录算法、数据包标记算法、IC-MP 追踪算法等; 另一类是在攻击追踪过程中的算法,主要有IPSec、链路测试、逐跳追踪算法等,如图 2 所示。 图2 DDoS攻击源追踪(zhuzng)的分类a) 按数据包标记的算法有IP 分组路径记录(jl)法、概率标记法、确定包标记法、入口包标记法、流水线标记法以及基于代数 包标记算法等。b) 按日志记录的算法有路由器日志算法、基于(jy) hash 追踪。c) 基于标记的追踪包括随机包标记( PPM) 、固定包标记( DPM) 、ICMP 追踪技术。d) 分组标记算法也有很多种分类

10、,按照是否给每个分组 都标记可以分为确定分组标记 ( DPM ) 和概率分组标记 ( PPM) ; 按照分组标记中携带的地址信息可以分为节点标记、边标记和多边标记等。e) 按链路测试的追踪算法包括输入测试法、可控泛洪法等。3.2 DDoS攻击追踪算法3.2.1在攻击完成后追踪及攻击源定位1) 随机数据包标记算法4提出了采用基于概率数据包标记方案。该算法的核心思想是: 数据包到达路由器时,路由器以某种概率来 标记数据包的部分路径信息,当被攻击主机收到一定数量的带有标记信息的数据包时,可通过分析得到足够信息来恢复与构建完整的攻击路径。算法优点是实现事后追踪、无须耗用额外的网络带宽、无须占用路由器的

11、存储空间,且不会增加所传送数据包的大小; 缺点是标记效率有待提高、重复标记的问题、数据包标记容易被攻击者利用、PPM 算法追踪到的仅是边缘路 由器或者攻击者侵入并控制的机器。2) 可变概率包标记算法4提出的概率包标记方案就是为了追踪攻击者,改变路由器的标记概率,使用可变的概率来进行标记,可以减少重构攻击路径所需的数据包数。可变概率包标记算法思想是: 离攻击者越近,标记概率应越大。当取这样的变概率时,受害端重构攻击路径所需的包的数目最少,这样可以更好地追踪到攻击者。可变概率包标记算法优点很多,但是也有不足之处,三大关键问题总结如下:a) 在实现过程中,关键的问题是 i 值的确定,如何确定才能够提

12、高算法的准确度。b) 路由器越靠近攻击者,其标记数据包的概率越大,边界路由器要对所有转发的数据包进行标记,产生的关键问题是将导致路由器的负担过重。c) 当 i 较大时,Pi 会很小,结果产生受害者需要得到更多来自于攻击者的数据包才能重构出攻击路径,耗时过长,易被攻击者利用。ICMP追踪算法ICMP追踪算法的思想是: 当一个数据包通过(tnggu)一个路由器时,该路由器可以一定的概率同时向数据包的发送方和接收方发送带认证的 ICMP 追踪信息5。受害者可以挑出与那些攻击性数据包对应的追踪消息,根据其中的相关信息(xnx)重组一个以受害者自己为目的地的攻击路径,攻击路径的另一端或攻击图的零入度节点

13、处即为离攻击发出端最近的路由器。该算法的缺点有两点: a) 被追踪的数据包与追踪包是分开的,它们可能因为(yn wi)路由策略或防火墙策略而使其中一个被丢弃,另一个被传输到受害者,从而使得追踪出现误差; b) 在受害者获得攻击路径中所有路由器的追踪信息之前,其需要从攻击者处接收大量的包。4) 数据包日志记录法数据包日志记录的基本思想是: 在数据包的传输路途中,路由器将数据包的信息记录下来。这种方法最大的问题是要求很大的存储空间。Snoren 等人6提出了一种基于摘要( hash) 的 IP 追踪方法。其优点在于检测到攻击后可以根据攻击数据分组在相关的 hash 值域内查询路由器,构造出给定数据

14、包的路径; 缺点在于要求所有的路由器都保存其转发过的数据包的部分信息的摘要。5) 基于代数编码的包标记算法与基本包标记不同的是,基于代数编码的包标记不是直接将 IP 地址的分块标记到数据包中,而是在数据包中以代数编码的方式标记路由器的地址。7提出将路径上每个路由器地址对若干特定素数求余,结果分别作为多项式系数,多项式值再对一特定素数求余,依次累加,将结果写入 IP 首部的ID 域后传送至下一站。这样,攻击数据包将含有路径上所有路由器地址的浓缩信息,受害主机收到大量数据包后,可通过解多项式和中国余数定理求出路径上的路由器。该算法有两个缺点: a) 由于没有距离标志,在路径重构的第 9 期黄忠厚,

15、等: DDoS 攻击源追踪算法综述3235过程中需要进行复杂的函数运算,其路径重构的结果不是很可靠;b) 重构攻击路径所需的数据包的数量较大,这将延迟受害者对攻击路径的重构,从而有可能延误受害者处的其他防御措施,给受害者带来较大的损失。3.2.2 在攻击过程中追踪及攻击源定位算法1) 基于 IPSec 安全关联的报文追踪算法8提出了一种基于 IPSec 安全关联的报文追踪算法。当被攻击网络端的边界路由器发现遭到 DDoS 攻击时,向可能的位于攻击路径上的上游路由器请求建立隧道模式 IPSec安全关联; 上游路由器对所有发往 Rv 的网络报文进行认证,边界路由器根据被认证的报文中是否有攻击报文,

16、来确定上游路由器是否真正位于攻击路径上。该算法的缺点是需要对所有可能的报文都进行认证,而且需要管理员的相互协作。2) 链路测试(csh)算法链路测试算法是反应回溯技术的一种,一般是从离被攻击者最近的路由器开始检查(jinch),逐级回溯到离攻击者最近的路由器。其优点在于与现有协议兼容,并且与现有的路由器和网络 设施兼容,可以逐步地实现; 缺点在于要成功溯源需要攻击持 续时间足够长,而且不适合应对 DDoS 攻击,多个网络服务提 供商之间的协调较困难。3.2.3 其他(qt)经典攻击追踪算法1) 实时追踪攻击源追踪算法 实时追踪攻击源追踪算法的核心思想是: 基于自治域系统( AS) 的概率标记算

17、法将攻击源确定在某些 AS 中,然后在 AS自治域范围内再使用随机数标记算法( RNPM) 精确定位攻击源位置。该算法的优点是收敛速度快、路径计算负荷小以及较低的误报率等,适合实现对 DDoS 攻击的实时追踪。2) 追踪部署的着色包标记算法追踪部署的着色包标记算法的核心思想是: 基于追踪部署的相关理论和着色包标记算法,提出一种基于追踪部署的IP,9回溯算法。该算法是以贪心算法为基础 利用 K-剪枝算法在网络拓扑图中找出一些关键的路由器。该算法的优点是减少了重构路径所需的数据包数,降低了路径误报率,提高了追踪到攻击者的速度,而且大大减轻了路由器标记的负担,从而能够迅速准确地找到攻击源。如何防御分

18、布式拒绝服务攻击是当今最重要的网络安全问题之一,IP 追踪和攻击源定位技术在 DDoS 攻击防御研究中具有重要意义。4.总结DDoS 攻击源追踪的研究是推动追踪效率进一步发展的关键问题。DDoS 攻击源追踪算法的评价取决于算法的效率,高效的算法应同时呈现在三个方面,即收敛速度快、路径计算负荷小和误报率较低。从上述的分析可知,实质上 DDoS 攻击追踪能够使受害者在最短时间内推测出主要攻击路径、重构路径,并在此基础上还需考虑算法本身实现的代价、现实环境中网络的不可预知性等方面。从研究方法看,针对特定环境及需求建立相应数学模型,随后寻找一种能够被数据包标记所允许的近似解法,此种方法成为一种较合适的

19、算法设计方式。本文从以下 10 个方面归纳了今后 DDoS 攻击源追踪需关注和研究的问题:a) 追踪仅仅是 DDoS 攻击解决方案中的一个步骤,如何将追踪与其他防范措施相结合尽可能兼顾算法的实现代价和部署性,必将成为 DDoS 攻击追踪研究中的重点和难点之一。b) 方案的移植问题。因为 IPv6 没有标志字段,现有的数据包标记方法在向 IPv6 移植时存在困难,有待进一步研究。c) 如何利用少量路由器存储空间和带内信息传输方式来提高标记信息利用率,如何避免占用额外的网络通信宽带。d) 如何使受害者通过很少的数据包来完成攻击路径重构工作,如何在重构路径时有效地降低攻击路径的误报率,从而能够在更短

20、的时间内找出攻击路径并发现攻击源。e) 如何提高 DDoS 攻击追踪效率,比较(bjio)有效地过滤掉攻击者伪造的数据包,如何增强包标记追踪的安全性和可靠性。f) 基于主动防御模型的 IP 反向(fn xin)追踪方法利用 hash 函数序列的相关性和概率标记信息,通过主覆盖路由器的协同工作,实现对攻击源快速定位。其特征是在标记时对摘要信息进行拆分,保证了对大范围 DDoS 攻击的准确定位。因此IP反向(fn xin)追踪也将是 DDoS 攻击追踪研究中的关注点之一。g) 今后,高速网、无线网和 IPv6 上的 IP 溯源技术将是研究的热点。目前 IP 溯源技术的研究集中在 IPv4 上,但随

21、着高速网、无线网的增多以及 IPv6 技术的推广,针对它们的 DDoS攻击肯定会多起来,所以这方面的研究应该起步。h) 如何使得一个节点的标记信息不被其他节点所伪造,而又不能让攻击主机重构出攻击路径。在包标记算法上,如何通过减少收敛时间以更优化的标记概率来实现。i) 如何比较有效地减少伪造标记数据包产生的攻击路径漏报和误报,提高追踪效率,如何将 DDoS 攻击追踪技术与其他技术结合起来共同应对网络攻击。DDoS 攻击追踪技术有着明显的优缺点,与其他技术结合,取长补短是可行之举。j) 如何能够追踪到具体的攻击主机而不仅仅是追踪到它所在的网段,以及对下一代网络的支持问题。另外,进一步提高溯源路径精

22、度和准确度也将是一个重要的课题。由于溯源精度和溯源开销的矛盾始终存在,如何在其间选择一个平衡点是需要权衡的问题。现有的 DDoS 攻击追踪问题主要着眼于包标记算法的研究,通过重构路径、减少收敛时间、提高追踪效率、实现追踪,这也是笔者未来研究工作的重点之一。本文中的经典算法在理论和模拟的环境中实现具有可行性,但实际效果还需要在进一步的工作中不断完善和深入,因此在下一步工作中具有继续研究的必要和意义。10参考文献:1韩志杰,段晓阳 .基于云计算平台的防御拒绝服务攻击方法.J信息化研究,2011(05)2陈国良,王法,庄镇泉等.遗传算法及其应用M北京:人 民邮电出版,19963Ratul Mahajan, Steven M Bellovin, Sally Floyd, et al.Controlling High Bandwidth Aggregates in the Network.2001-024SAVAGE S, WETHHERALL D, KARLIN A, et al.Practical net-work support for IP tracebackJ.ACM SIGCOMM Computer Commuaication Review.2000.30( 4) : 295-3065BELLOVIN

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论